LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 13:20:35

LegalToday

Por y para profesionales del Derecho

Sistemas de whistleblowing o denuncias anónimas en empresas. Cuando España navega en solitario

Francisco Ramón González-Calero Manzanares

La posibilidad de establecer un sistema de denuncias anónimas en la empresa es una práctica habitual en países de nuestro entorno, auspiciada por normativa legal como la Ley Sarbanes – Oxley de EEUU, que exige a las sociedades estadounidenses que cotizan en bolsa y a sus filiales ubicadas en la Unión Europea, así como las sociedades no estadounidenses, que coticen en alguno de los mercados de valores Estados Unidos, que establezcan, en su comité de auditoría, «procedimientos para la recepción, retención y tratamiento de quejas recibidas por el causante en relación con la contabilidad, controles contables internos o cuestiones de auditoría; y la presentación confidencial y anónima por parte de los empleados de la persona causante de preocupación en relación con cuestiones contables o de auditoría cuestionables».

Estos sistemas también afectan a aquellas filiales españolas de multinacionales con sede central en un país cuya legislación permita o ampare estos sistemas y lo pretendan establecer como procedimiento de control interno dentro de su política de Compliance (no olvidemos la reforma del Código Penal español que introduce la responsabilidad penal de la persona jurídica).

Por su parte el Grupo de Trabajo del Art 29 de la Directiva 95/46/CE ha estudiado el tema en su  "Dictamen 1/2006 sobre la aplicación de las normas de la UE relativas a la protección de datos a programas internos de denuncia de irregularidades en los campos de la contabilidad, controles contables internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios y financieros". Debe tenerse en cuenta que este informe sólo expresa la opinión del Grupo en relación con estos sistemas de denuncias en los ámbitos financieros, de auditoría  y contables reservándose su opinión en lo relativo a la creación de otros sistemas similares en ámbitos distintos del analizado, como podrían ser los referidos a comportamientos, acciones o hechos que puedan constituir violaciones tanto de las normas internas de la compañía, fraude a la misma,  o vulneración de códigos éticos o legislación en vigor. Como norma general, el Grupo de Trabajo considera que sólo los informes identificados deberían comunicarse a través de programas de denuncia de irregularidades para satisfacer este requisito, pero permite los no identificados bajo ciertas condiciones:

"No obstante, el Grupo de Trabajo es consciente de que algunos denunciantes podrían no encontrarse siempre en situación o tener disposición psicológica para presentar informes identificados. También es consciente del hecho de que las quejas anónimas son una realidad dentro de las sociedades, incluso y especialmente en ausencia de sistemas de denuncia de irregularidades confidenciales y organizados, y que esta realidad no puede ignorarse. Por ello, el Grupo de Trabajo considera que los programas de denuncias de irregularidades podrían llevar a la presentación de informes anónimos a través del programa y a la toma de medidas basadas en ellos, pero sólo como excepción a la regla y en las siguientes condiciones.

El Grupo de Trabajo considera que los programas de denuncia de irregularidades deberían estar creados de tal manera que no fomenten los informes anónimos como la manera habitual de presentar una queja. En concreto, las sociedades no deberían anunciar el hecho de que se permiten los informes anónimos a través del programa. Por el contrario, puesto que los programas de denuncia de irregularidades deberían garantizar que la identidad del denunciante se trata en condiciones de confidencialidad, las personas que pretendan presentar un informe mediante un sistema de denuncia de irregularidades deberían ser conscientes de que no sufrirán por su acción. Por esa razón, el programa debería informar al denunciante, en el momento de establecer el primer contacto con el programa, de que su identidad se mantendrá confidencial en todas las etapas del proceso y, en concreto, que no se divulgará a terceros, ni a la persona incriminada y a los mandos directivos del empleado. Si, a pesar de esa información, la persona que informa al programa sigue queriendo permanecer en el anonimato, el informe se aceptará en el programa. También es necesario informar a los denunciantes de que podría ser necesario divulgar su identidad a las personas pertinentes implicadas en cualquier investigación posterior o procedimiento judicial incoado como consecuencia de la investigación llevada a cabo por el programa de denuncia de irregularidades".

Llegados a este punto, nos encontramos con el Informe Jurídico 128-2007 de la Agencia Española de Protección de Datos que dispone que estos sistemas sólo serán válidos bajo un sistema de denuncias NO anónimas. Tras dar luz verde a estos tratamientos en base al artículo 6.2 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal "…cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…", eso sí dejando bien claro que "No obstante, para que la conclusión anteriormente alcanzada fuera posible, sería preciso que la finalidad que justifica el establecimiento de los sistemas de denuncia descritos en la consulta resultase ajustada al adecuado mantenimiento de las relaciones contractuales, de forma que el sistema se centrase en la denuncia de conductas que pudieran efectivamente afectar al mantenimiento o desarrollo de la relación contractual que vincula al denunciado y a la consultante", acaba concluyendo que: "A nuestro juicio, debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de "whistleblowing", de forma que se evite la existencia de denuncias anónimas, garantizándose así la exactitud e integridad de la información contenida en dichos sistemas".

Y claro, el problema que se plantea con esta decisión a cualquier empresa de ámbito multinacional (filial o matriz) que quiera unificar un sistema de estas características entre todas las empresas del grupo es mayúsculo puesto que homogeneizar el sistema se vuelve "misión imposible" salvo que aceptes la posición española como verdad absoluta y  modelo a seguir "en un mundo globalizado" o que establezcas unas particularidades para el sistema en España que lo dejen inservible e inútil para la finalidad para la que fue diseñado. Este problema se podría complicar con la futura aprobación del Reglamento Europeo de Protección de Datos, ya que al establecer el principio de One Stop Shop (única autorización y reconocimiento mutuo entre decisiones de las autoridades de control), unas autoridades de control acepten estos sistemas permitiendo el anonimato del denunciante y otras autoridades de control no lo acepten, estableciéndose por ello una discriminación por razón del domicilio de la matriz.

No hay que olvidar que estos sistemas están muy implantados en otros países de nuestro entorno, existiendo empresas que ofrecen estos servicios de denuncia e investigación a través de tercero (por ejemplo la británica Safecall  www.safecall.co.uk ). Aclarar que este tratamiento estaría sujeto a la figura de acceso a datos, puesto que una empresa de este tipo no deja de ser un mero encargado de tratamiento (art. 12 de la LOPD) y sujeto por ello a la legislación española.

Aparte de la problemática apuntada, no debemos olvidar otros aspectos a tener en cuenta a la hora de implantar un sistema de estas características:

  • Puede producirse una transferencia internacional de datos al comunicar los hechos denunciados y su resolución a la matriz, si no se encuentra domiciliada y ubicada dentro del territorio de la Unión Europea o del Espacio Económico Europeo, por lo que puede ser necesario solicitar autorización previa a la Agencia Española de Protección de Datos, salvo que la transferencia se realice a un país que tenga reconocido por la Comisión Europea un nivel adecuado de protección, o que la destinataria esté adherida a Safe Harbor (Puerto Seguro), o que la transferencia se encuadre dentro de una de las excepciones previstas en la LOPD que exoneran del deber de solicitar autorización previa.
  • Debe cumplirse con el deber de información previa al inicio del tratamiento del artículo 5 de la LOPD. Esta información puede realizarse a través de los contratos laborales para los nuevos empleados y para los existentes debería hacerse a través de un documento que deba firmar el trabajador y que quede constancia que se da por enterado del funcionamiento del sistema, su alcance y  los derechos y deberes del afectado.
  • Si un trabajador es denunciado, en un primer momento puede ser contraproducente informarle conforme al artículo 5 que ha sido denunciado puesto que podría dificultar las pesquisas tendentes al esclarecimiento de los hechos. Por ello entiende la AEPD que el máximo para informarle es el de tres meses, de acuerdo con el artículo 5.4 de la LOPD.
  • No hay que olvidar que el artículo 4.5 obliga a cancelar los datos cuando dejen de ser necesarios para la finalidad para la que fueron recabados. En estos casos se deben tener en cuenta los plazos de prescripción y caducidad de acciones y la finalización de procedimientos judiciales y cumplimiento de la responsabilidad adquirida como consecuencia de los mismos.
  • En cuanto a las medidas de seguridad  a adoptar, la AEPD estima con buen criterio que deben ser de nivel alto.
  • Finalmente no debemos olvidarnos de notificar la inscripción del fichero en el Registro General de Protección de Datos.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.